PC Cleaning, Logfile Auswertung

Tungsten Wol · 17.02.2010, 16:14

Hallo alle zusammen,
da ich zur Zeit endlich mal wieder etwas Zeit gefunden habe, bin ich seit gestern dabei, mein PC wieder auf Vordermann zu bringen.
Sprich: von schädlicher Software entfernen, Datenmüll loswerden etc.

Meine PC-Daten (falls vonnöten):
XP Home Edition SP 2
Version 2002
Celeron(R) CPU 2,66 GHz
1,49 GB RAM

So, als erstes begann ich damit AVG Free 9.0 laufen zulassen, welches infizierte Dateien fand und auch vernichtete.

Infektionen;"1";"1";"0"
Spyware;"10";"10";"0"
Für den Scanvorgang ausgewählte Ordner:;"Gesamten Computer scannen"
Start des Scans:;"Dienstag, 16. Februar 2010, 17:44:19"
Scan beendet:;"Dienstag, 16. Februar 2010, 19:50:55 (2 Stunde(n) 6 Minute(n) 35 Sekunde(n))"
Gesamtanzahl gescannter Objekte:;"330566"
Benutzer, der den Scan gestartet hat:;"***"

Infektionen
Datei;"Infektion";"Ergebnis"
I:\Programme\***\Link Checker v.1.3.exe;"Trojaner: Generic16.BFYF";"In Virenquarantäne verschoben"

Spyware
Datei;"Infektion";"Ergebnis"
I:\Programme\vtp6.zip:\Vista Transformation Pack 6.0.exe:\unwise0036.bin:\unwise0006.bin;"Potentiell gefährliches Programm: HackTool.BVK";"In Virenquarantäne verschoben"
I:\Programme\vtp6.zip:\Vista Transformation Pack 6.0.exe:\unwise0036.bin;"Potentiell gefährliches Programm: HackTool.BVK";"In Virenquarantäne verschoben"
I:\Programme\vtp6.zip:\Vista Transformation Pack 6.0.exe:\unwise001f.bin;"Potentiell gefährliches Programm: HackTool.BVK";"In Virenquarantäne verschoben"
I:\Programme\vtp6.zip:\Vista Transformation Pack 6.0.exe;"Potentiell gefährliches Programm: HackTool.BVK";"In Virenquarantäne verschoben"
I:\Programme\vtp6.zip;"Potentiell gefährliches Programm: HackTool.BVK";"In Virenquarantäne verschoben"
I:\Eigene Dateien\Meine empfangenen Dateien\vtp3.zip:\Vista Transformation Pack 3.0.exe:\unwise0024.bin;"Potentiell gefährliches Programm: HackTool.BVK";"In Virenquarantäne verschoben"
I:\Eigene Dateien\Meine empfangenen Dateien\vtp3.zip:\Vista Transformation Pack 3.0.exe:\unwise0014.bin:\unwise0006.bin;"Potentiell gefährliches Programm: HackTool.BVK";"In Virenquarantäne verschoben"
I:\Eigene Dateien\Meine empfangenen Dateien\vtp3.zip:\Vista Transformation Pack 3.0.exe:\unwise0014.bin;"Potentiell gefährliches Programm: HackTool.BVK";"In Virenquarantäne verschoben"
I:\Eigene Dateien\Meine empfangenen Dateien\vtp3.zip:\Vista Transformation Pack 3.0.exe;"Potentiell gefährliches Programm: HackTool.BVK";"In Virenquarantäne verschoben"
I:\Eigene Dateien\Meine empfangenen Dateien\vtp3.zip;"Potentiell gefährliches Programm: HackTool.BVK";"In Virenquarantäne verschoben"

Dannach Festplatten defragmentieren, anschließend säuberte ich die Redistry mit regseeker (nur mit der automatischen Funktion, ca 200 Einträge sind noch vorhanden, bin aber unsicher ob die ebenfalls gelöscht werden können).
Anschließend defragmentierte ich die Registry mit RegCompact.NET.
Malwarebyte's Anti-Malware laufen, welcher einen Fund hatte, dazu gibts auch einen Logfile:

Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3510
Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

17.02.2010 00:33:11
mbam-log-2010-02-17 (00-33-11).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|H:\|I:\|)
Durchsuchte Objekte: 203901
Laufzeit: 2 hour(s), 0 minute(s), 38 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\spool\drivers\w32x86\2\lxaestrn.dll (Worm.KoobFace) -> Quarantined and deleted successfully.

Anschließend dann Hijackthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:51:10, on 17.02.2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\AVG\AVG9\avgchsvx.exe
C:\Programme\AVG\AVG9\avgrsx.exe
C:\Programme\AVG\AVG9\avgcsrvx.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVG\AVG9\avgwdsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\AVG\AVG9\avgnsx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\PROGRA~1\AVG\AVG9\avgtray.exe
C:\Programme\Canon\MyPrinter\BJMyPrt.exe
C:\Programme\Canon\Canon IJ Network Scan Utility\CNMNSUT.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\802.11g USB Wireless Network Driver and Utility HW.14 V1.0.0\RtWLan.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Gemeinsame Dateien\Logitech\KhalShared\KHALMNPR.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Windows Media Player\WMPNSCFG.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\Dokumente und Einstellungen\***\Eigene Dateien\Downloads\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programme\AVG\AVG9\avgssie.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Programme\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Programme\Windows Live\Toolbar\wltcore.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Programme\Windows Live\Toolbar\wltcore.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [AVG9_TRAY] C:\PROGRA~1\AVG\AVG9\avgtray.exe
O4 - HKLM\..\Run: [CanonMyPrinter] C:\Programme\Canon\MyPrinter\BJMyPrt.exe /logon
O4 - HKLM\..\Run: [IJNetworkScanUtility] C:\Programme\Canon\Canon IJ Network Scan Utility\CNMNSUT.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: 802.11g USB Wireless Network Utility .lnk = ?
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: In Windows Live Writer in Blog veröffentliche&n - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programme\AVG\AVG9\avgpp.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll
O23 - Service: AVG Free WatchDog (avg9wd) - AVG Technologies CZ, s.r.o. - C:\Programme\AVG\AVG9\avgwdsvc.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: ServiceLayer - Nokia - C:\Programme\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 7001 bytes

Anschließend deaktivierte ich über msconfig im Autostart einige Unnütze Sachen (ein paar lies ich aber aus Unsicherheit drinnen).

Es waere super wenn mir jemand helfen koennte den HijackThis auszuwerten.
Auserdem habe ich im Taskmanager 49 Prozesse am laufen, ist das normal?
Beim Wmp 11 ist es auch so, dass er nie richtig geschlossen wird, im Hintergrund weiterläuft, und ich ihn nur richtig über den Taskmanager jedes Mal schließen kann.

Vielen Grüße und Dank im vorraus,
Tungsten

PC Cleaning, Logfile Auswertung

Log-Analyse und Auswertung: PC Cleaning, Logfile Auswertung

PC Cleaning, Logfile Auswertung

Ähnliche Themen: PC Cleaning, Logfile Auswertung